베네수엘라에서 발생한 BGP 이상 현상 분석

(blog.cloudflare.com)

1P by GN⁺ 1일전 | ★ favorite | 댓글 1개

베네수엘라의 CANTV(AS8048) 네트워크에서 여러 차례 BGP 라우트 누출(route leak) 이 발생해, 일부 네트워크 경로가 비정상적으로 전파됨
Cloudflare Radar 데이터에 따르면 12월 이후 11건의 누출 이벤트가 확인되었으며, 이는 라우팅 정책 미비로 인한 기술적 오류 가능성이 높음
이번 사건은 AS8048이 상위 제공자 AS6762(Sparkle) 로부터 받은 경로를 다른 제공자 AS52320(V.tal GlobeNet) 에 재전송한 형태로, 전형적인 Type 1 헤어핀 누출 구조
RPKI 기반의 경로 원점 검증(ROV) 은 이번 사례에 효과가 없으며, ASPA(Autonomous System Provider Authorization) 와 RFC9234 같은 새로운 표준이 이러한 누출 방지에 필요함
BGP의 신뢰 기반 구조로 인해 이런 사고는 흔하며, ASPA·Peerlock·RFC9234 같은 기술의 도입이 안전한 인터넷 운영의 핵심임

BGP 라우트 누출의 개념

BGP(Route Gateway Protocol) 은 인터넷 상의 자율 시스템(AS) 간 경로를 교환하는 프로토콜
- 네트워크 간 관계는 고객-제공자(customer-provider) 또는 피어(peer-peer) 형태로 구성
라우트 누출(route leak) 은 RFC7908에서 “의도된 범위를 넘어선 라우팅 정보 전파”로 정의
- 예: 고객이 제공자에게 받은 경로를 다른 제공자에게 다시 전파하는 경우
이러한 누출은 valley-free routing 규칙 위반으로, 트래픽이 비정상적인 경로를 따라 이동하게 됨
- 결과적으로 네트워크 혼잡, 지연, 트래픽 손실 등의 문제가 발생

AS8048(CANTV)의 라우트 누출 사례

Cloudflare Radar는 AS8048(CANTV) 가 AS6762(Sparkle) 로부터 받은 경로를 AS52320(V.tal GlobeNet) 에 재전송한 사실을 확인
- 이는 명백한 라우트 누출 형태
누출된 경로의 원점은 AS21980(Dayco Telecom) 으로, AS8048의 고객 네트워크
- 두 AS 간 관계는 Cloudflare Radar와 bgp.tools 데이터에서 제공자-고객 관계로 확인됨
경로에는 AS8048이 다중 프리펜드(prepend) 되어 있었음
- 프리펜드는 경로를 덜 매력적으로 만들어 트래픽을 다른 경로로 유도하는 기법
- 따라서 의도적인 MITM(중간자 공격) 가능성은 낮음
누출은 2026년 1월 2일 15:30~17:45 UTC 사이 여러 차례 발생했으며, 네트워크 정책 오류나 수렴 문제로 인한 현상일 가능성
Cloudflare Radar 기록에 따르면 12월 이후 11건의 유사 누출이 반복되어, 지속적인 정책 미비로 판단됨

기술적 원인과 정책적 문제

AS8048이 제공자 AS52320 에 대한 라우팅 export 정책을 느슨하게 설정했을 가능성
- 고객 BGP 커뮤니티 태그 대신 IRR 기반 프리픽스 리스트만 사용했을 경우, 잘못된 경로 재전송 발생 가능
이러한 정책 오류는 RFC9234의 Only-to-Customer(OTC) 속성을 통해 예방 가능
- OTC는 BGP 역할(고객·제공자·피어)을 명시적으로 정의하여 잘못된 경로 전파를 차단

RPKI와 ASPA의 역할

Sparkle(AS6762) 은 RPKI Route Origin Validation(ROV) 을 완전하게 구현하지 않았으나,
- 이번 사건은 경로(path) 이상이므로 ROV로는 방지 불가
ASPA(Autonomous System Provider Authorization) 는 경로 기반 검증을 제공
- 각 AS가 승인된 상위 제공자 목록을 명시해, 비정상 경로를 자동 차단
- 예: AS6762가 “상위 제공자 없음”을 선언하면, 다른 네트워크가 AS6762를 포함한 잘못된 경로를 거부 가능
ASPA는 RPKI 기반으로 작동하며, 라우트 누출 방지에 직접적 효과를 가짐

안전한 BGP 구축을 위한 제안

BGP는 본질적으로 신뢰 기반 프로토콜이므로, 정책 오류나 실수로 인한 누출이 빈번
ASPA, RFC9234, Peerlock/Peerlock-lite 같은 기술을 병행 적용하면
- 경로 검증 강화
- 잘못된 경로 전파 차단
- 네트워크 안정성 향상
RIPE 는 이미 ASPA 객체 생성을 지원 중이며,
- 운영자들은 RFC9234 구현 요청을 네트워크 장비 벤더에 전달해야 함
이러한 협력적 표준 도입이 베네수엘라 사례와 같은 BGP 사고 예방의 핵심 수단임

▲

GN⁺ 1일전 [-]

Hacker News 의견들

여기 댓글 흐름이 좀 의외였음. 다들 미국 기업에 대한 두려움을 이야기하는데, 기사 내용과는 크게 관련이 없어 보임
Cloudflare 글은 단순히 BGP 작동 방식을 설명하고, 베네수엘라 ISP의 경로 누출이 자주 발생했다는 점을 지적했을 뿐임
물론 Cloudflare가 틀렸거나 뭔가 숨기고 있을 수도 있지만, 글 어디에도 그들이 직접 개입했다는 내용은 없음. 다들 뭘 보고 그렇게 확신하는지 궁금함
- 이 글에서 무서워할 만한 증거는 없다고 생각함
  다만 Stuxnet이나 Dual EC DRBG 사건을 보면 정부가 0-day를 활용하는 능력을 과소평가하면 안 됨
  내 친구가 FANG 기업에서 일했는데, 정부에 데이터 스트림을 직접 제공하는 걸 봤다고 함. ISP 백도어도 현실임 (Room 641A)
  만약 Cloudflare가 영장에 따라 협조했다면, 그걸 부정하는 글을 법적으로 쓸 수 있었을까?
  그래서 사람들의 기본적인 회의감이 생긴다고 봄. “이건 오래된 문제라 별거 아님”이라는 Cloudflare의 결론은 좀 약함
- 나도 같은 의문을 가짐. 이 글이 어떻게 미국 정부 개입으로 이어지는지 모르겠음
  BGP 구조상 미국이 다른 나라보다 이런 일을 더 쉽게 할 수 있는 이유가 있는지도 궁금함
- 아마 대부분은 제목만 보고 판단했을 듯. 게다가 미국이 과거에 이런 일들을 실제로 해왔다는 역사적 배경이 있으니까
  요즘 미국 정부에 대한 여론이 워낙 냉소적이라, 작은 사건도 의심받는 분위기임
  아니면 그냥 러시아나 중국의 소셜 계정일 수도 있겠지만, 누가 알겠음
- 며칠 전에도 비슷한 글이 있었음 — 베네수엘라 침공설과 BGP 이상 현상을 연결한 loworbitsecurity 글
  또 CNN 기사에서 트럼프가 동맹국에도 군사행동 가능성을 언급했음
  지금 정권이라면 오히려 이런 공격을 공개적으로 자랑했을 것 같음. 그래서 난 일단 “단순 설정 오류” 쪽을 믿음
  다만 미국이 요즘 뉴스에 나올 때마다 위협, 철수, 제재 얘기뿐이라 사람들의 불신이 커지는 건 자연스러움
졸린 상태였지만 글이 흥미로웠음. AS path prepending 분석이 “사고설”을 잘 뒷받침함
국가가 트래픽을 가로채려 했다면 경로를 일부러 길게 만들 이유가 없음
아마 단순한 라우팅 설정 실수였을 가능성이 큼. BGP는 여전히 신뢰 기반 시스템이라 작은 오타 하나로 전 세계에 영향이 감
악의보다 누락된 export 필터가 더 그럴듯한 설명임
- “국가 행위자라면 경로를 일부러 잘못 패딩할 수도 있다”는 반론도 있음
  실제로 광고 트래픽을 조작하려는 비국가 행위자도 존재함
  그래도 네트워크 운영자 입장에서 보면, 이런 실수는 흔하고 자동화된 트래픽 조정 스크립트가 문제를 키우기도 함
  결국 BGP의 구조적 취약성이 문제임. 보안과 BGP는 여전히 어울리지 않는 단어임
Snowden 문건 중 하나인 NSA Network Shaping 101을 참고할 만함
2007년에 작성된 문서로, ASIN과 3계층 트래픽 제어에 대해 설명함
- 하지만 이 문서의 “layer 3 shaping”은 BGP 이상 현상과는 별 관련이 없어 보임
  단순히 특정 IP로 보낸 트래픽이 해당 링크를 타는 구조를 설명하는 수준임
- NSA조차 ASN 개념을 잘못 쓴 게 웃김. 마치 “내 이웃은 문자열 ‘123 Main Street’에 산다”고 말하는 것 같음
글을 읽고 나서 미국 기업과 정부의 결합이 얼마나 깊은지 새삼 소름이 돋았음
예전부터 알던 사실이지만, 이번엔 신뢰가 완전히 무너진 느낌임. 이건 시대의 전환점 같음
- 예전에 합법적 감청 이야기를 하던 친구가 있었는데, 그때 그의 얼굴이 완전히 굳었던 게 기억남
  이런 감시 인프라는 오래전부터 존재했고, 일본도 2003년에 실시간 트래픽 모니터링을 했음
  지금은 DPI 기술이 너무 쉽게 구현 가능함
- 이런 불신의 순환이 10년마다 반복되는 것 같음
  새로 업계에 들어온 사람들은 순진하게 시작하지만, 결국 정부와 기업의 밀착 구조를 깨닫고 신뢰를 잃음
  시간이 지나면 또 새로운 세대가 같은 과정을 반복함
- Cloudflare가 미국 정부의 작전을 덮으려 했다고 보는 건 과한 해석 같음
  글의 요지는 Hanlon’s razor, 즉 악의보다 실수를 먼저 의심하자는 것임
  물론 Cloudflare가 사실을 왜곡했다면 비판받아야 하지만, 그런 증거는 아직 없음
- “기업이 정부와 얽혀 있다”는 건 어느 나라나 마찬가지임. 새삼스러운 일은 아님
베네수엘라의 노후한 인프라를 생각하면, 굳이 고급 사이버 공격이 필요했을까 싶음
부패한 계약업체들이 엉터리 시스템을 납품한 게 현실임
- 사실 그런 나라에서는 돈 몇만 달러면 직접 스위치를 조작할 사람을 살 수 있음
  사이버 공격보다 부패 구조가 훨씬 큰 문제임
- 나도 CANTV를 이용했는데, 전화선 설치에 9년 반이 걸렸음
  결국 길거리에서 일하던 기술자에게 돈을 주고 해결했는데, 그 번호가 택시회사 번호였음
  이런 환경에서 BGP 공격을 논하는 게 좀 허무함
- 실제로 있었던 전력망 공격은 BGP와 무관했음. 단순한 네트워크 실수로 보임
이번 글은 좋은 BGP 복습이었음
예전에 네트워크 엔지니어로 일할 때 BGP community magic을 많이 썼는데,
만약 BGP가 단순히 provider, customer, peer 세 종류만 표현했다면 훨씬 간단했을지도 모름
- 맞음, 훨씬 단순해졌겠지만 단순함이 항상 좋은 건 아님
  Google Maps에서 교통 정보나 신호등 데이터를 없애면 계산은 쉬워지지만, 결과는 엉망이 되는 것과 같음
예전에 Google Maps가 나를 고속도로에서 Walmart 주차장을 거쳐 다른 고속도로로 안내한 적이 있었음
그때는 단순한 알고리즘 오류라고 생각했지만, 만약 McDonald’s 드라이브스루로 안내했다면 음모를 의심했을 것임
이번 사건도 비슷하게, 단순한 실수로 보는 게 더 설득력 있음
- BGP 경로 누출이 더 자주 일어나지 않는 건 다른 ISP의 필터링 덕분임. 실수는 생각보다 쉽게 일어남
인터넷의 핵심 인프라가 미국 기업 중심으로 운영되는 게 좀 무섭게 느껴짐
이제는 다른 나라들도 독립적인 구조를 만들어야 함
- 하지만 인터넷 자체가 미국 군과 대학, 기업이 만든 시스템이니 놀랄 일은 아님
  그럼 누가 대신 관리해야 한다는 건지 궁금함
- 유럽도 충분히 Cloudflare 같은 회사를 만들 수 있었지만, 인재 유출과 투자 부족이 문제였음
- 인터넷은 본질적으로 탈중앙화되어 있음. 중앙 BGP 라우터 같은 건 존재하지 않음
나는 BGP 사고를 오래 관찰해왔는데, 의도된 변경과 실수, 구조적 장애를 구분하는 게 항상 어렵다고 느낌
그래서 세 가지 질문을 먼저 함: 영향 범위가 점점 커졌는가, 경로가 대칭적으로 변했는가, 복구가 깔끔했는가
그리고 AS-path prepending 변화를 먼저 보고, 지역별 가시성을 비교함
마지막으로 “누가 이득을 봤는가”를 추적함. 다른 사람들은 어떤 지표로 문제를 감지하는지 궁금함
Cloudflare의 전 세계 커버리지는 정말 놀라움
- 하지만 그게 오히려 세계에 위험한 집중 구조라고 생각함. 이제는 비미국 기업들이 독립해야 함
- Anycast 네트워크라면 여러 지점에서 BGP를 관찰할 수 있으니 Cloudflare만의 능력은 아님
  다만 그들은 엔지니어링 중심 조직이라 이런 분석을 공개적으로 잘함
- 사실 누구나 RIPE RIS를 이용해 비슷한 분석을 할 수 있음
- Cloudflare는 자원도 많고, 솔직히 대단한 회사임

답변달기